Dual Scan: Windows Update for Business und WSUS parallel nutzen

    Update und Sicherheit in der App EinstellungenSeit Windows 10 1607 unterstützt Microsoft ein hybrides Modell, bei dem PCs die Updates für das Betriebs­system online und für andere Produkte von WSUS beziehen können. Dieses Neben­einander von zwei Update-Quellen führt manch­mal zu uner­wünschten Effekten, die man mit Gruppen­richtlinien unter­binden kann.

    Microsoft ließ stets durchblicken, dass es auch beim Patch-Management verstärkt in Richtung Cloud gehen werde, so dass WUfB irgendwann die WSUS vollständig ersetzen kann. Einen ersten Schritt in diese Richtung machte bereits Windows 10 1607, das erstmals eine Arbeits­teilung zwischen WUfB und WSUS erlaubte.

    WUfB für das Betriebs­system zuständig

    Windows Update for Business (WUfB) besteht aus zwei Komponenten. Zum einen erlaubt es das Festlegen eines Verteiler­rings für die jeweiligen Rechner (Semi-annual Channel bzw. Semi-annual Channel Targeted), außerdem kann man darüber Qualitäts- und Feature-Updates für eine bestimmte Zeit zurückzustellen. Zum anderen gehört dazu ein Caching-Mechanismus namens Übermittlungs­opti­mierung (Delivery Optimization).

    WUfB bietet dem Administrator deutlich weniger Kontrolle über Updates als WSUS und beschränkt sich zudem auf das Betriebs­system. Deshalb galt es anfangs als Tool für kleinere Unter­nehmen, die keinen eigenen WSUS-Server betreiben.

    Parallelbetrieb durch Dual Scan

    Der im Release 1607 eingeführte Dual Scan befähigt den Client jedoch, Updates für das OS direkt aus dem Internet über WUfB zu beziehen, auch wenn der Rechner für WSUS konfiguriert wurde. Laut Microsoft erreichen Anwender damit mehr Sicherheit, weil kritische Windows-Updates nicht mehr explizit vom Administrator freigegeben werden müssen.

    Parallel dazu würden PCs die Updates für Office und andere Microsoft-Anwendungen weiterhin über WSUS erhalten, solange WUfB diese nicht bereit­stellen kann.

    Die Konfiguration von Dual Scan ist jedoch nicht besonders offensichtlich, so dass Admini­stratoren diesen Mechanismus oft aus Versehen aktivieren.

    Aktivierung von Dual Scan

    Dual Scan wird immer dann eingeschaltet, wenn man Clients einem WSUS-Server zuordnet (über die GPO-Einstellung Internen Pfad für den Microsoft Updatedienst angeben) und gleichzeitig für sie die Qualitäts- oder Feature-Updates über Gruppen­richt­linien zurückstellt.

    GPO-Einstellungen zum Verzögern von Updates via WUfB

    Eine solche Konfiguration aktivieren Administratoren aber ganz leicht auch ungewollt. In der App Einstellungen findet sich nämlich standard­mäßig ein Link, über den die Benutzer an WSUS vorbei direkt bei Microsoft Update nach Patches suchen können.

    Link für die Online-Suche nach Updates

    Wenn der Administrator die Feature-Updates nicht über die WUfB-Einstellungen verzögert, dann können die Benutzer auf diesem Weg ein neues Release des Betriebs­systems direkt einspielen, auch wenn es in WSUS noch gar nicht freigegeben ist.

    Möchte ein Administrator dieses Szenario verhindern und stellt daher Updates via WUfB zurück, dann aktiviert er damit automatisch Dual Scan und entzieht damit die betreffenden Rechner bei OS-Updates der Kontrolle von WSUS.

    Optionen für das Management von Dual Scan

    Das beschriebene Dilemma besteht offensichtlich darin, dass Admins entweder das manuelle und unerwünschte Einspielen von Features-Updates durch die Benutzer riskieren oder die Kontrolle über Windows-Updates via WSUS aufgeben.

    Es bieten sich zwei Vorgehensweisen an, um diesen Konflikt aufzulösen. Keine weiteren Maßnahmen ergreifen muss man nur, wenn man die Arbeits­teilung zwischen WSUS und WUfB nutzen möchte und Dual Scan dafür ausdrücklich aktiviert. Das Gleiche gilt natürlich, wenn man keine WSUS einsetzt und die Updates ohnehin über Microsoft Update erhält.

    Updates nur über WSUS verteilen

    Möchte man bei der reinen WSUS-Variante bleiben, dann kann man die Benutzer daran hindern, Updates manuell von Microsoft Update herunter­zuladen. Dazu blendet man via GPO den Link Suchen Sie online nach Updates von Microsoft Update in der App Einstellungen aus.

    Link für die Online-Suche nach Updates mittels GPO ausblenden

    Zuständig ist dafür die Option Zugriff auf alle Windows Update-Funktionen deaktivieren. Sie findet sich unter Computer­einstellungen => Richtlinien => Administrative Vorlagen => System => Internet­kommunikations­verwaltung => Internet­kommunikations­einstellungen.

    Entfernter Link für die Online-Suche nach Updates

    Zu beachten ist hier, dass die App Einstellungen nach dem Aufruf von gpupdate den unerwünschten Link weiterhin anzeigt. Die Ansicht aktualisiert sich erst nach einem Klick auf die Schaltfläche Nach Updates suchen.

    Updates über WSUS, manuellen Scan zulassen

    Eine weniger radikale Methode besteht darin, die Updates über WSUS bereitzustellen, aber den Benutzern weiterhin zu erlauben, über den genannten Link explizit nach Updates zu suchen. Für diese Variante würde man wie bisher die Clients mit WSUS verknüpfen und die Feature-Updates via WUfB zurückstellen.

    Automatisches Aktivieren von Dual Scan verhindern über Gruppenrichtlinien

    Um aber zu vermeiden, dass Admins auf diese Weise den Dual Scan aktivieren, hat Microsoft eine eigene Einstellung für die Gruppen­richtlinien nachgereicht. Sie lautet Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird. Sie befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update.

    Keine Kommentare